V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
able
V2EX  ›  程序员

记一次 破案 ssh 频繁大量连接 的经历

  •  
  •   able · 2019-06-14 11:53:39 +08:00 · 1447 次点击
    这是一个创建于 1993 天前的主题,其中的信息可能已经有所发展或是发生改变。

    记一次 破案 ssh 频繁大量连接 的经历

    • 早上收到 git 服务器异常登录报警,最后查到是同事连 VPN 访问的,正常。

    • 我去查看下 ssh 连接记录,sudo journalctl -u ssh 和 sudo tail -f /var/log/auth.log

    • 结果很惊讶,有 2 个 ip 地址在不停的连接,每秒 2-3 条连接,10 小时有 7 万次了。

    • 熟悉的人都知道,一般都是 ssh 暴力破解的,我也就没细看直接 block ip 地址。

    • 后来同事反馈无法 git clone 代码,细看才发现屏蔽的居然是公司的 ip 地址啊! 抓紧解除。

    • 我细看 ssh log,原来并不是暴力破解,每次连接都是成功的,就是连接太频繁。

    • 继续思考为啥这么多连接呢?

    • 到公司软路由,sudo iftop -i br0 -f "dst port 22" 查看了有 2 台机器有很多连接。

    • 最后找到同事了解情况,机器部署的是 Hound 代码搜索引擎,有 78 个仓库需要搜索。

    • 但为啥晚上还有这么多请求呢?这个连接太频率也太高了。

    • https://github.com/hound-search/hound#hound

    • 看官方文档,原来默认每 30s 去获取代码更新,78 个仓库的话,每秒就会有 2-3 个连接。

    • 至此破案了,仓库太多,默认检查更新时间太短,造成了 ssh 频繁大量的连接。让同事修改检查时间,避免太频繁的请求。

    Anonym0u5
        1
    Anonym0u5  
       2019-06-14 12:50:05 +08:00
    谢谢分享
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3149 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:21 · PVG 21:21 · LAX 05:21 · JFK 08:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.